Konfigurieren von Windows Hello for Business

In diesem Artikel werden die Optionen zum Konfigurieren von Windows Hello for Business in einer Organisation und deren Implementierung beschrieben.

Konfigurationsoptionen

Sie können Windows Hello for Business mithilfe der folgenden Optionen konfigurieren:

• Konfigurationsdienstanbieter (Configuration Service Provider, CSP): Wird häufig für Geräte verwendet, die von einer MDM-Lösung (Mobile Device Management) verwaltet werden, z. B. Microsoft Intune. CSPs können auch mit Bereitstellungspaketen konfiguriert werden, die normalerweise zur Bereitstellungszeit oder für nicht verwaltete Geräte verwendet werden. Verwenden Sie zum Konfigurieren von Windows Hello for Business den PassportForWork-CSP.
• Gruppenrichtlinie (GPO): Wird für Geräte verwendet, die in Active Directory oder in Microsoft Entra hybrid eingebunden sind und nicht von einer Geräteverwaltungslösung verwaltet werden.

Richtlinienrangfolge

Einige der Windows Hello for Business-Richtlinien sind sowohl für die Computer- als auch für die Benutzerkonfiguration verfügbar. In der folgenden Liste wird die Richtlinienrangfolge für Windows Hello for Business beschrieben:

• Benutzerrichtlinien haben Vorrang vor Computerrichtlinien. Wenn eine Benutzerrichtlinie festgelegt ist, wird die entsprechende Computerrichtlinie ignoriert. Wenn keine Benutzerrichtlinie festgelegt ist, wird die Computerrichtlinie verwendet.
• Windows Hello for Business-Richtlinieneinstellungen werden mithilfe der folgenden Hierarchie erzwungen:
  • Benutzer – Gruppenrichtlinienobjekt
  • Computer – Gruppenrichtlinienobjekt
  • User – PassportForWork CSP
  • Gerät – PassportForWork CSP
  • Exchange Active Sync – DeviceLock CSP

Abrufen der Microsoft Entra-Mandanten-ID

Die Konfiguration über CSP oder Registrierung verschiedener Windows Hello for Business-Richtlinieneinstellungen erfordert die Angabe der Microsoft Entra-Mandanten-ID, in der das Gerät registriert ist.

Informationen zum Nachschlagen Ihrer Mandanten-ID finden Sie unter Suchen Ihrer Microsoft Entra-Mandanten-ID , oder versuchen Sie Folgendes, um sicherzustellen, dass Sie sich mit dem Konto Ihrer Organisation anmelden:

GET https://graph.microsoft.com/v1.0/organization?$select=id

In der PassportForWork-CSP-Dokumentation wird beispielsweise beschrieben, wie Windows Hello for Business-Optionen mithilfe des OMA-URI konfiguriert werden:

./Device/Vendor/MSFT/PassportForWork/{TenantId}

Ersetzen TenantID Sie beim Konfigurieren von Geräten durch Ihre Microsoft Entra-Mandanten-ID. Wenn Ihre Microsoft Entra-Mandanten-ID beispielsweise lautet dcd219dd-bc68-4b9b-bf0b-4a33a796be35, würde der OMA-URI wie folgt aussehen:

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Konfigurieren von Windows Hello for Business mit Microsoft Intune

Für in Microsoft Entra eingebundene Geräte und in Intune registrierte hybrid eingebundene Microsoft Entra-Geräte können Sie Intune-Richtlinien verwenden, um Windows Hello for Business zu verwalten.

Es gibt verschiedene Möglichkeiten, Windows Hello for Business in Intune zu aktivieren und zu konfigurieren:

• Verwenden einer Richtlinie, die auf Mandantenebene angewendet wird. Die Mandantenrichtlinie:
  • Wird nur zum Zeitpunkt der Registrierung angewendet, und alle Änderungen an der Konfiguration gelten nicht für Geräte, die bereits bei Intune registriert sind.
  • Dies gilt für alle Geräte , die bei Intune registriert werden. Aus diesem Grund ist die Richtlinie in der Regel deaktiviert, und Windows Hello for Business wird mithilfe einer Richtlinie aktiviert, die auf eine Sicherheitsgruppe ausgerichtet ist.
• Eine Gerätekonfigurationsrichtlinie, die nach der Geräteregistrierung angewendet wird. Alle Änderungen an der Richtlinie werden während regelmäßiger Richtlinienaktualisierungsintervalle auf die Geräte angewendet. Es stehen verschiedene Richtlinientypen zur Auswahl:
  • Einstellungskatalog
  • Sicherheitsbasispläne
  • Benutzerdefinierte Richtlinie über den PassportForWork-CSP
  • Kontoschutzrichtlinie
  • Vorlage für Identitätsschutzrichtlinien

Überprüfen der mandantenweiten Richtlinie

So überprüfen Sie die Richtlinieneinstellungen für Windows Hello for Business, die zum Zeitpunkt der Registrierung angewendet wurden:

1. Anmelden beim Microsoft Intune Admin Center
2. Wählen Sie Geräte>Windows>Windows-Registrierung aus.
3. Auswählen von Windows Hello for Business
4. Überprüfen Sie den Status von Windows Hello for Business konfigurieren und alle Einstellungen, die möglicherweise konfiguriert werden.

Richtlinienkonflikte aus mehreren Richtlinienquellen

Windows Hello for Business kann durch GPO oder CSP konfiguriert werden, aber keine Kombination aus beidem. Vermeiden Sie die Vermischung von GPO- und CSP-Richtlinieneinstellungen für Windows Hello for Business, da dies zu unerwarteten Ergebnissen führen kann. Wenn Sie GPO- und CSP-Richtlinieneinstellungen kombinieren, werden die in Konflikt stehenden CSP-Einstellungen erst angewendet, wenn die Gruppenrichtlinieneinstellungen gelöscht sind.

Deaktivieren der Windows Hello for Business-Registrierung

Windows Hello for Business ist standardmäßig für Geräte aktiviert, die in Microsoft Entra eingebunden sind. Wenn Sie die automatische Aktivierung deaktivieren müssen, gibt es verschiedene Optionen, darunter:

• Deaktivieren von Windows Hello mithilfe der mandantenweiten Richtlinie
• Deaktivieren Sie sie mithilfe eines der in Intune verfügbaren Richtlinientypen, während Sie die Registrierungsstatusseite (ESP) aktivieren. Die ESP kann so konfiguriert werden, dass ein Benutzer nicht auf den Desktop zugreifen kann, bis das Gerät alle erforderlichen Richtlinien erhält. Weitere Informationen finden Sie unter Einrichten der Seite "Registrierungsstatus". Die zu konfigurierende Richtlinieneinstellung lautet Windows Hello for Business verwenden.
• Stellen Sie die Geräte mithilfe eines Bereitstellungspakets bereit, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie unter Bereitstellen von Paketen für Windows.
• Skriptlösungen, die die Registrierungseinstellungen ändern können, um Windows Hello for Business während der Betriebssystembereitstellung zu deaktivieren

Nächste Schritte

Eine Liste der Windows Hello for Business-Richtlinieneinstellungen finden Sie unter Windows Hello for Business-Richtlinieneinstellungen.

Weitere Informationen zu Windows Hello for Business-Features und deren Konfiguration finden Sie unter:

• PIN-Zurücksetzung
• Duale Registrierung
• Dynamische Sperre
• Mehrstufige Entsperrung
• Remotedesktopanmeldung (RDP)